# T1518.001 - Security Software Discovery ## Técnica Pai Esta é uma sub-técnica de [[t1518-software-discovery|T1518 - T1518 - Software Discovery]]. ## Descrição Adversários utilizam esta técnica para enumerar as ferramentas de segurança, agentes de monitoramento, softwares antivírus e sensores de detecção instalados em um sistema ou ambiente de nuvem. O objetivo é entender o nível de visibilidade defensiva disponível no alvo antes de avançar no ataque. Informações coletadas sobre soluções como EDR, NGAV, firewalls de host e agentes SIEM permitem que o adversário adapte seu comportamento para reduzir a probabilidade de detecção. A execução pode ocorrer por comandos nativos do sistema operacional - `tasklist`, `reg query`, `sc query`, `netsh`, `dir` em ambientes Windows - ou por WMI e PowerShell para consultas mais silenciosas. Em ambientes macOS e Linux, o adversário pode buscar processos como `CrowdStrike`, `SentinelOne`, `LittleSnitch` ou `KnockKnock` por meio de `ps aux` e `launchctl list`. Em infraestruturas de nuvem (AWS, Azure, GCP), a técnica se estende à identificação de agentes de monitoramento como AWS CloudWatch Agent, Azure VM Agent e Google Cloud Monitor via [[t1059-009-cloud-api|Cloud API]]. O resultado desta descoberta é crítico para a tomada de decisão do invasor: se um EDR avançado for detectado, o grupo pode optar por instalar um rootkit que cegue o agente, usar técnicas de [[t1562-001-impair-defenses-disable-or-modify-tools|evasão de defesas]], carregar drivers maliciosos assinados ou simplesmente abortar a operação naquele host e migrar lateralmente para um sistema menos protegido. **Contexto Brasil/LATAM:** No Brasil, a heterogeneidade da maturidade em segurança entre empresas é um fator explorado ativamente. Enquanto grandes bancos e operadoras de telecomúnicações contam com EDRs modernos, PMEs e órgãos públicos frequentemente operam com antivírus tradicionais de baixa cobertura comportamental ou sem qualquer proteção de endpoint. Grupos como [[g0082-apt38|APT38]] - com histórico de ataques a bancos brasileiros via SWIFT - e [[g0061-fin8|FIN8]] - especializado em PoS e setor varejista - realizam este reconhecimento para identificar o ponto de menor resistência antes de implantar seus payloads financeiros. ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>T1566 Phishing] --> B[Execução<br/>T1059 Script] B --> C{T1518.001\nSecurity Software\nDiscovery}:::highlight C -->|Defesa fraca| D[Implantação<br/>de Malware] C -->|Defesa forte| E[Evasão<br/>T1562 Impair Defenses] D --> F[Exfiltração<br/>T1041] E --> D classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O adversário estabelece acesso inicial ao sistema - geralmente via [[t1566-001-spearphishing-attachment|Spearphishing Attachment]] ou exploração de vulnerabilidade pública - e executa um implante de primeiro estágio com capacidade de shell reverso ou acesso via C2. 2. **Execução:** Comandos de enumeração são executados diretamente ou embutidos no malware. Em Windows, exemplos comuns incluem `tasklist /v`, `sc query type= all state= running`, `reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` e consultas WMI como `Get-WmiObject -Class Win32_Product`. Malwares como [[s0650-qakbot|QakBot]] e [[s0455-metamorfo|Metamorfo]] executam estas consultas automaticamente na fase de reconhecimento local. 3. **Pós-execução:** O resultado é enviado de volta ao operador via canal C2 ou gravado em arquivo temporário para coleta posterior com [[t1074-001-local-data-staging|Local Data Staging]]. Com base no inventário de ferramentas de segurança identificadas, o adversário seleciona o payload adequado - com ou sem técnicas de evasão - e decide se avança no host atual ou se move lateralmente para um alvo com menos proteção. ## Detecção **Fontes de dados:** - **Windows Event Log:** Event ID 4688 (criação de processo) para execuções de `tasklist.exe`, `sc.exe`, `reg.exe`, `wmic.exe` com argumentos suspeitos - **Sysmon:** Event ID 1 (Process Creaté) monitorando linha de comando com padrões de consulta de segurança - **EDR telemetria:** Sequência incomum de consultas ao registro (`HKLM\SOFTWARE`) por processos não administrativos - **Cloud Audit Logs (AWS/Azure/GCP):** Chamadas de API como `DescribeInstances`, `GetMetricData`, `ListAgents` por identidades não esperadas - **Auditd (Linux):** Syscalls `execve` com argumentos `ps`, `systemctl list-units`, `find /etc` por processos de baixo privilégio **Sigma Rule:** ```yaml title: Security Software Discovery via Native Windows Commands id: f3a1c2e4-9b12-4d7a-b8e5-c6d0f1234567 status: experimental description: Detects execution of commands commonly used to enumeraté security software on Windows endpoints logsource: product: windows category: process_creation detection: selection_tasklist: Image|endswith: '\tasklist.exe' CommandLine|contains: - '/v' - '/svc' selection_sc_query: Image|endswith: '\sc.exe' CommandLine|contains: - 'query' - 'type= all' selection_reg_security: Image|endswith: '\reg.exe' CommandLine|contains: - 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall' - 'SOFTWARE\WOW6432Node' selection_wmic_product: Image|endswith: '\wmic.exe' CommandLine|contains: - 'product get' - 'antivirusproduct' condition: 1 of selection_* filter_legit_admin: ParentImage|endswith: - '\msiexec.exe' - '\services.exe' falsepositives: - Ferramentas legítimas de inventário de TI (SCCM, Ansible, Chef) - Scripts de auditoria internos level: medium tags: - attack.discovery - attack.t1518.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento de processos | Implementar Sysmon com configuração avançada monitorando criação de processos filhos de `cmd.exe` e `powershell.exe` que consultam registros de instalação de software | | Least Privilege | Restringir execução de `wmic.exe`, `reg.exe` e `sc.exe` a contas administrativas via AppLocker ou Windows Defender Application Control (WDAC) | | Hardening de endpoint | Desabilitar acesso WMI remoto para usuários não administradores; aplicar políticas DCOM restritivas | | Cloud security posture | Em ambientes AWS/Azure/GCP, usar CloudTrail/Monitor Logs com alertas para chamadas de API de enumeração de agentes fora de baselines conhecidos | | Deception | Implantar honeytokens em chaves de registro de produtos de segurança fictícios para alertar imediatamente quando consultados por processos não autorizados | ## Threat Actors que Usam - [[g0012-darkhotel|Darkhotel]] - grupo APT sul-coreano especializado em espionagem via redes Wi-Fi de hotéis; enumera softwares de segurança para implantação de backdoors persistentes - [[g0121-sidewinder|Sidewinder]] - APT com foco em alvos sul-asiáticos e governamentais; usa descoberta de segurança para calibrar implantes de segundo estágio - [[g1008-sidecopy|SideCopy]] - grupo paquistanês que imita TTPs do Sidewinder; realiza reconhecimento extensivo de endpoint antes de implantar [[crimson|Crimson]] RAT - [[g0112-windshift|Windshift]] - APT com foco em macOS; verifica presença de ferramentas como LittleSnitch antes de prosseguir - [[g0082-apt38|APT38]] - braço financeiro do Lazarus Group da Coreia do Norte; com histórico de ataques a bancos no Brasil via sistema SWIFT - [[g0061-fin8|FIN8]] - grupo criminoso focado em PoS e varejo; enumera segurança de endpoint para implantar [[s1234-splatcloak|SplatCloak]] e outros evasores - [[g1044-apt42|APT42]] - grupo iraniano de espionagem; usa descoberta de segurança em operações de phishing direcionadas a jornalistas e pesquisadores - [[g1018-ta2541|TA2541]] - grupo de ameaças com foco em aviação e transporte; usa [[s0455-metamorfo|Metamorfo]] para reconhecimento de endpoint - [[g0089-the-white-company|The White Company]] - grupo APT sofisticado com foco em espionagem geopolítica no Paquistão - [[g0019-naikon|Naikon]] - APT chinês com foco em governos do Sudeste Asiático; usa reconhecimento extensivo antes de implantar backdoors de longo prazo ## Software Associado - [[s1130-raspberry-robin|Raspberry Robin]] (malware) - worm que realiza reconhecimento de segurança como parte do processo de instalação de payload - [[clop|Clop]] (malware) - ransomware que verifica presença de EDR antes de iniciar cifragem em massa - [[s0469-abk|ABK]] (malware) - downloader que enumera antivírus para selecionar técnica de evasão adequada - [[s1228-pubload|PUBLOAD]] (malware) - stager associado ao Mustang Panda com capacidade de descoberta de endpoint - [[s0455-metamorfo|Metamorfo]] (malware) - trojan bancário brasileiro que verifica ferramentas de segurança instaladas antes de se estabelecer - [[s1234-splatcloak|SplatCloak]] (malware) - driver malicioso do FIN8 projetado para cegar EDRs detectados na fase de reconhecimento - [[s1239-toneshell|TONESHELL]] (malware) - backdoor do Mustang Panda com módulo de descoberta de ambiente - [[s0650-qakbot|QakBot]] (malware) - trojan bancário modular com extensa fase de reconhecimento de endpoint - [[s0339-micropsia|Micropsia]] (malware) - RAT do APT-C-17 com capacidade de inventário de software instalado - [[crimson|Crimson]] (malware) - RAT do SideCopy/Transparent Tribe com módulo de enumeração de segurança --- *Fonte: [MITRE ATT&CK - T1518.001](https://attack.mitre.org/techniques/T1518/001)*